『情報セキュリティの敗北史』を読んだ
面白かった。タイトル通り歴史をつづった本であり、純粋な技術書というよりは読み物としての性格が強い。具体的なセキュリティインシデントも当然登場するが、その技術背景が詳しく掘り下げられるわけではない。「SQLインジェクション」「カーネル」など、専門家にとっては基本的な用語にも注釈がついているので、むしろ専門外の方でも広く読めるようにした文芸書に近いのかもしれない。ちょっと違う気はするが、『失敗の本質』情報セキュリティ版、みたいな趣だろうか。
歴史の範囲はENIACの誕生から2020年前後までであり、およそ現代における電子計算機の発展の歴史を概観する形になる。複数ユーザが1つのコンピュータを共有するタイムシェアリングシステムの確立、数多のコンピュータがネットワークで接続されたインターネットの誕生、急速にコンピュータが民間へ広まったドットコム・ブームと、コンピュータの扱い方を巡るパラダイムが変わるごとに、セキュリティの在り方も変わり、新たな問題が出現しては対策が積み重ねられてきたのだ、ということが語られる。まさに「敗北史」ではあるのだが、あまりネガティブな語り口ではなく、淡々と読める。今では当たり前になったセキュリティリスクが、歴史のどの段階で、どういった背景から生まれてきたのか、という観点で見る機会は、これまであまりなかった。
パラダイムの変化によってセキュリティの在り方が変わった、というのは技術的な要因のみならず、人間の心理的な要因も無視できない。例えば本書で「リスク補償理論」に触れられているが、これはある安全対策が導入された際、人は別のところで以前よりもリスクを冒すようになり、結果的に全体的なリスクの増減が相殺されてしまうという理論だ。これをセキュリティの文脈に当てはめると、ファイアウォールが導入されたことで安心感が生まれ、個々のクライアント側でユーザーのセキュリティ意識が低くなる、といった事象となる。6章では「ユーザブルセキュリティ、経済学、心理学」と銘打たれ、このような心理学や行動経済学の観点から見たセキュリティ問題に丸々1章が割かれているほか、7章「脆弱性の開示、報奨金、市場」や8章「データ漏洩、国家によるハッキング、認知的閉鎖」でも、人間のマクロな経済行動をベースとした話が展開される。インターネットの登場、スマートフォンの登場といった形でユーザーのコンピュータとの触れ方が変われば、当然ながらその心理にも変化が生まれ、情報セキュリティの問題も形を変えていく。さらには国家機関のサイバー戦争により、脆弱性は「武器」として扱われ、民間を巻き込んでより複雑な様相となっている。
単に「敗北史」を描いただけの諦念に満ちた本というわけではなく、最後の9章「情報セキュリティの厄介な本質」では全体を総括しつつ、今後の情報セキュリティの在り方に対して一石を投じて締めている。
セキュリティを実現する ためには特定の条件が必要であるという主張には、反証可能性がない。また、特定のセキュリティ技術、製品、または方法を採ることがセキュリティに求められるというセキュリティ製品のベンダーや セキュリティ専門家のアドバイスにも、 反証可能性は存在しない。これは情報セキュリティ分野の中心で待ち構える、実存的な危機だ。人々が意識するかしないかにかかわらず、 その実際的な影響は、何十年にもわたって蓄積されてきた山のようなセキュリティアドバイスに現れている。どのアドバイスに効果があるかを判断する方法がないため、効果のないアドバイスを破棄することができず、すべて山の中に加えられてしまう。 (p.276)
本書の帯には「愚者は経験に学び、賢者は歴史に学ぶ」という有名な格言が書かれているが、情報セキュリティはまさに歴史の集積であると、改めて気付かされる。本書によれば、バッファオーバーフローの概念が初めて公になったのは1972年のことだが、それから半世紀を経た現代においても、この問題が完全に撲滅されたというわけではない。一度現れた問題はその後もついてまわり、対策に対策を重ねて現代に至っている。
情報セキュリティ対策は終わりのあるものではないし、「敗北史」は今後も続いて行くのだろうが、そのなかで如何に最善を尽くすことができるかを知る上で、示唆に富んだ本だと思う。